防火墙测试方案

文档编号版本号/修改号密级产品名称：共页防火墙测试方案文档作者： _日期：____/____/_项目经理： _日期：____/____/_主管部长： _日期：____/____/_管理员： _日期：____/____/_广东省电信公司科学技术研究院数据网络部目录TOC\o"1-5"\h\z\o"CurrentDocument"1 防火墙测试环境 1\o"CurrentDocument"防火墙测试网络拓扑与工具 1\o"CurrentDocument"1.2 防火墙测试标准 3\o"CurrentDocument"防火墙厂家情况调查 4\o"CurrentDocument"参测的防火墙产品配置 5\o"CurrentDocument"防火墙产品功能验证测试 5\o"CurrentDocument"防火墙集中管理架构的验证测试 6\o"CurrentDocument"防火墙多级管理员工作方式的验证测试 7\o"CurrentDocument"防火墙系统管理功能的验证测试 8\o"CurrentDocument"4.4 防火墙组网功能测试 9\o"CurrentDocument"4.5 防火墙通信协议兼容性测试 10\o"CurrentDocument"4.6 防火墙状态检测功能测试 12\o"CurrentDocument"4.7 防火墙用户认证功能测试 13\o"CurrentDocument"4.8 防火墙应用代理功能测试 14\o"CurrentDocument"4.9 防火墙ActiveX/Java过滤功能测试 15\o"CurrentDocument"4.10 防火墙内容/邮件过滤功能测试 16\o"CurrentDocument"4.11 防火墙日志审计功能测试 17\o"CurrentDocument"4.12 防火墙报警功能测试 19\o"CurrentDocument"4.13 防火墙双机热备的功能支持完整性测试 20\o"CurrentDocument"4.14 防火墙抗掉电性测试 21\o"CurrentDocument"4.15 防火墙VPN功能测试 22\o"CurrentDocument"4.16 防火墙地址翻译功能测试 23\o"CurrentDocument"5 防火墙产品性能测试 24\o"CurrentDocument"5.1 防火墙吞吐量测试 25\o"CurrentDocument"5.2 防火墙背靠背缓存能力测试 26\o"CurrentDocument"防火墙最大的联接建立速率测试 28\o"CurrentDocument"5.4 防火墙最大并发联接数测试 29\o"CurrentDocument"5.5 防火墙有效通过率测试 30\o"CurrentDocument"5.6 混杂非法业务流条件下的防火墙联接建立速率测试 31\o"CurrentDocument"5.7 防火墙延时参数测试 32\o"CurrentDocument"5.8 防火墙加密隧道的有效通过率测试 33\o"CurrentDocument"5.9 防火墙加密隧道延时参数测试 34\o"CurrentDocument"5.10 防火墙对DoS的防范能力测试 35\o"CurrentDocument"5.11 防火墙内核最小化测试 36\o"CurrentDocument"5.12 防火墙双机热备切换时间测试 37\o"CurrentDocument"5.13 防火墙带宽管理功能测试 38\o"CurrentDocument"5.14 防火墙集成IDS的有效通过率测试 39\o"CurrentDocument"5.15 防火墙集成防病毒功能的有效通过率测试 40防火墙测试环境防火墙测试网络拓扑与工具防火墙产品的测试拓扑分为单机测试条件下的拓扑（图1）和双机热备条件下的测试拓扑（图2）。信任区/非军事区路由器/交换机I1EI测试主机a测试仪表信任区/非军事区1^"防火墙aif信任区/非军事区路由器/交换机I1EI测试主机a测试仪表信任区/非军事区1^"防火墙aif 、\Subnet5测试主机b图1.防火墙产品单机测试拓扑测试仪表j防火墙测试仪表j防火墙b|也II-图2.双机热备条件下防火墙产品测试拓扑主要的测试设备包括测试仪表、测试主机/服务器和路由器/交换机三大类。测试仪表包括IXIA、SmartBits和CawNetwork三种仪表。SmartBits是一款很好的网络性能测试仪表，主要用于吞吐量、背对背帧缓冲能力的测试以及VPN的性能测试。IXIA主要是用于防火墙安全防范水平的测试,即利用IXIA的重放功能以及内置的攻击软件包，测试防火墙抵御拒绝服务攻击的能力。CawNetwork可以仿真批量的HTTP\HTTPs、FTP通信业务,主要用于有效通过率、通信联接建立速率和并发联接数等性能测试。测试主机/服务器主要作为软件测试工具的承载平台。用到的软件测试工具包括黑客攻击软件，主要是各种DoS软件工具，用于发出实际的DoS攻击流。网络嗅探器Sniffer，用于监测和分析网络测试流。网络扫描仪InternetScanner，用于评估防火墙系统内核的安全水平。路由器/交换机是测试平台的组网设备。1.2防火墙测试标准防火墙产品测评指针的制定主要参考了以下标准。1.GB/T18020-1999信息技术应用级防火墙安全技术要求2.GB/T18019-1999信息技术包过滤防火墙安全技术要求FWPD：FirewallProductCertificationCriteriaVersion3.0aInternetDraft：BenchmarkingMethodologyforFirewallPerformance.RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices.防火墙厂家情况调查防火墙厂家的情况调查主要包括：生产厂家及其售后服务、产品技术资料和产品的市场评价等内容。防火墙厂家在测试前，应当如实回答以下问题：1）是否持有生产销售该产品的合法营业执照？2） 已通过何种质量管理体系认证？3）企业向市场提供那些安全产品？4） 企业生产经营防火墙产品的时间？5）防火墙产品在同类产品中的市场占有率如何？（注明数据出处）6）是否提供产品使用的相关培训和技术支持？7） 产品售后跟踪和维护渠道及方式如何？8）可提交那些相关的产品技术资料？

9）防火墙产品是否通过国家权威机构的认证？参测的防火墙产品配置产品型号操作系统和版本防火墙软件版本首信防火墙CF2000CG-600linuxCF2000V2.1CPU类型与数目存储类型和容量电源与环境要求施乐2.4G数目：1个内存Kingstone内存容量：2G硬盘:40G电源:400W以上服务器冗余电源工作温度:0°C-40°C存储温度：-40°C-55°C工作相对湿度:30%-90%气压：86KPA-106KPA重量：15KG防火墙产品功能验证测试防火墙功能验证测试部分主要是通过实际配置防火墙系统，检查配置参数，尝试性操作以及发送验证业务流等手段，验证防火墙提供功能的合理性和完整性。防火墙集中管理架构的验证测试测试编号：测试组：防火墙集中管理架构的验证测试测试依据：测试目的：验证防火墙系统体系架构层次的合理性测试步骤：搭建防火墙的集中管理平台；针对测试表格的要求，验证防火墙的集中管理架构。预期测试结果：测试准备：测试说明：测试结果：测试项测试用例测试结果备注管理架构<3层Yes()No()3层的管理体系Yes()No()带外管理Yes()No()带内管理Yes()No()管理信道加密Yes()No()集中管理能力拓扑生成Yes()No()全局朿略定制Yes()No()全局配置分发Yes()No()全局集中日志审计Yes()No()全局系统升级Yes()No()全局集中监控Yes()No()防火墙多级管理员工作方式的验证测试测试编号：测试组：防火墙多级管理员工作方式的验证测试测试依据：测试目的：验证防火墙管理员权限的分割能力、管理员工作的保密性和操作界面的友好程度测试步骤：创建防火墙的各级管理员账号，并进行相关的管理操作；针对测试表格的要求，验证防火墙的多级管理员工作方式。预期测试结果：测试准备：测试说明：测试结果：测试项测试用例测试结果备注管理员分级<3级Yes()No()大于3级的管理员体系Yes()No()自定义方式实现多级管理员体系Yes()No()管理员的接入安全一次性口令Yes()No()静态口令Yes()No()口令长度大于7Yes()No()口令长度小于等于7Yes()No()有登录尝试次数限制Yes()No()信道加密Yes()No()密钥长度128位以上Yes()No()密钥长度56为以下Yes()No()管理员操作界面未优化的命令行Yes()No()优化的命令行Yes()No()英文窗口Yes()No()汉化窗口Yes()No()防火墙系统管理功能的验证测试测试编号：测试组：防火墙系统管理功能的测试测试依据：测试目的：测试防火墙提供的系统管理功能的完善程度测试步骤：利用防火墙网管系统远程配置防火墙；针对测试表格的要求，验证防火墙管理系统的管理功能。预期测试结果：测试准备：测试说明：测试结果：测试项测试用例测试结果备注网络接口与系统功能配置网络拓扑显示Yes()No()（子）接口IP/MAC地址配置Yes()No()路由配置Yes()No()VPN功能配置Yes()No()NAT功能配置Yes()No()添加/清除虚拟防火墙Yes()No()故障监测实时监控Yes()No()告警指示Yes()No()系统升级全局分发Yes()No()在线升级Yes()No()管理员账号的创建账号增、删、改Yes()No()账号的分发Yes()No()安全策略配置支持基于端口、IP、对象、组的策略配置Yes()No()策略增、删、改Yes()No()策略全局分发Yes()No()日志审计日志查阅、删除Yes()No()不同管理系统日志审计的隔离Yes()No()防火墙组网功能测试测试编号：测试组：防火墙组网功能的测试测试依据：测试目的：测试防火墙参与网络组织的能力测试步骤：配置防火墙；针对测试表格的要求，验证防火墙系统配置。预期测试结果：测试准备：测试说明：测试结果：测试项测试用例测试结果备注接口W4个接口Yes()No(V)>4个接口Yes(V)No()支持子接口而且安全分区与接口无关Yes()No()组网协议静态路由Yes(V)No()动态路由Yes()No(V)物理结构符合标准机架要求Yes(V)No()虚拟防火墙Yes()No(V)测试人员厂商代表防火墙通信协议兼容性测试测试编号：测试组：防火墙通信协议兼容性测试测试依据：测试目的：测试防火墙支持的通信服务协议类型测试步骤：从防火墙的内区到外区方向，建立相关协议的允许规则；从内区的测试主机向外区主机，进行规定协议的通信，同时，内区的测试主机根据允许规则向所设定的目的地址主机发送规定协议以外的数据包；在通信过程中以及通信结束后，检查防火墙的日志，同时，利用Sniffer在外区监控业务数据流；根据测试表格的要求抽样检查常规的通信协议。预期测试结果：可以成功地进行规定协议的通信，但是，规定以外的其他协议数据包应当被阻断。测试准备：需要准备测试主机和服务器。测试说明：

测试结果:测试项测试用例测试结果备注DNS代理Yes()No(V)支持指定端口或指定端口范围的TCP或UDP状态检测。状态检测Yes(V)No()FTP代理Yes()No(V)状态检测Yes(V)No()HTTP代理Yes()No(V)状态检测Yes(V)No()HTTPs代理Yes()No(V)状态检测Yes(V)No()RTTP代理Yes()No(V)状态检测Yes(V)No()IGMP代理Yes()No(V)状态检测Yes(V)No()NTP代理Yes()No(V)状态检测Yes(V)No()SNMP代理Yes()No(V)状态检测Yes(V)No()SIP代理Yes()No(V)状态检测Yes(V)No()H.323代理Yes()No(V)状态检测Yes(V)No()TCP任意代理Yes()No(V)状态检测Yes(V)No()UDP任意代理Yes()No(V)状态检测Yes(V)No()其它任意代理Yes()No(V)支持ICMP过滤、IP包过滤。状态检测Yes(V)No()测试人员厂商代表防火墙状态检测功能测试测试编号：测试组：防火墙状态检测功能的测试测试依据：测试目的：测试防火墙状态检测功能的完备性测试步骤：从防火墙的内区到外区方向，建立HTTP和TFTP的允许规则；从内区的测试主机访问外区的测试服务器，进行网页浏览和TFTP文件下载操作，同时，内区的测试主机根据允许规则向所设定的目的地址主机发送规定协议以外的数据包；在通信过程中以及通信结束后，检查防火墙的日志以及状态联接表，同时，利用Sniffer在外区监控业务数据流；在上述操作过程中，根据测试表格的要求检查系统的配置功能。预期测试结果：在网页浏览和TFTP文件下载操作过程中，应生成相应的状态联接表项，但是，内区向外区发送的规定以外的其他协议数据包应当被阻断；在通信结束后，相应的状态联接表项随后也被清除。测试准备：需要准备测试主机和测试服务器。测试说明：测试结果:测试项测试用例测试结果备注条件域源地址/端口Yes(V)No()目的地址/端口Yes(V)No()协议Yes(V)No()选项域日志Yes(V)No()时间Yes(V)No()告警Yes()No(V)动作域允许Yes(V)No()禁止Yes(V)No()状态检测TCPYes(V)No()UDPYes(V)No()ICMP协议过滤Yes(V)No()测试人员防火墙用户认证功能测试测试编号：测试组：防火墙用户认证的测试测试依据：测试目的：测试防火墙用户认证功能实现方式的完整性测试步骤：配置认证服务器，建立认证用户账号；利用测试主机和测试服务器，仿真用户在认证后通过防火墙访问服务器的通信过程，查看防火墙日志记录，确认用户成功认证；针对测试表格的要求，完成上述测试过程。预期测试结果：测试准备：需要准备测试主机和测试服务器。测试说明：测试结果：测试项测试用例测试结果备注Radius认证会话认证Yes()No(V)采用自主开发的一次性口令认证技术，支持事前认证。事前认证Yes()No(V)WindowsNT域用户认证会话认证Yes()No(V)事前认证Yes()No(V)测试人员厂商代表防火墙应用代理功能测试测试编号：测试组：防火墙应用代理功能测试测试依据：测试目的：测试防火墙的应用代理功能的覆盖范围和工作方式测试步骤：配置防火墙的应用代理功能；利用测试主机与测试服务器建立通信过程；检查代理状态，确认代理按配置要求正常工作；根据测试表格的要求，完成各项代理功能的测试。预期测试结果：测试准备：需要准备测试主机和测试服务器，用于生成验证业务流。测试说明：测试结果：不支持。测试项测试用例测试结果备注HTTP透明代理Yes()No()可以切换到状态检测模式Yes()No()FTP透明代理Yes()No()可以切换到状态检测模式Yes()No()TELNET透明代理Yes()No()可以切换到状态检测模式Yes()No()SMTP透明代理Yes()No()可以切换到状态检测模式Yes()No()POP3透明代理Yes()No()可以切换到状态检测模式Yes()No()4.9防火墙ActiveX/Java过滤功能测试测试编号：测试组：防火墙ActiveX/Java过滤功能的测试测试依据：测试目的：测试ActiveX/Java过滤功能与防火墙功能的集成度以及功能的有效性。测试步骤：配置防火墙功能和ActiveX/Java过滤功能，使之正常工作；传送非法URL或含有非法ActiveX/Java代码的网页，检查ActiveX/Java过滤的有效性。预期测试结果：测试准备：需要准备测试主机和测试服务器，用于生成验证的业务流。测试说明：测试结果：测试项测试用例测试结果备注集成方式防火墙事后阻断YesONo(V)防火墙事前阻断Yes(V)No()ActiveX/Java过滤模块以第二方厂豕产品方式存在YesONo(V)支持标准接口的ActiveX/Java过滤产品YesONo(V)两种功能模块集成在一个机箱内Yes(V)No()功能效果非法ActiveX编码过滤YesONo(V)非法Java编码过滤YesONo(V)非法URL过滤Yes(V)No()非法脚本过滤YesONo(V)基于源地址实现封堵Yes(V)No()基于源端口实现封堵Yes(V)No()基于目的地址实现封堵Yes(V)No()基于目的端口实现封堵Yes(V)No()基于时间实现封堵Yes(V)No()防火墙内容/邮件过滤功能测试测试编号：测试组：防火墙内容/邮件过滤的测试测试依据：测试目的：测试内容/邮件过滤功能与防火墙功能的集成度以及功能的有效性测试步骤：配置防火墙功能和内容/邮件过滤功能，使之正常工作；传送非法邮件或内容信息，检查内容/邮件过滤的有效性。预期测试结果：测试准备：需要准备测试主机和测试服务器，用于生成验证的业务流。测试说明：测试结果：不支持。测试项测试用例测试结果备注集成方式防火墙事后阻断Yes()No()防火墙事前阻断Yes()No()内容/邮件过滤模块以第二方厂家产品方式存在Yes()No()支持标准接口的内容/邮件过滤产品Yes()No()两种功能模块集成在一个机箱内Yes()No()功能效果非法关键字内容过滤Yes()No()含病毒邮件附件过滤Yes()No()非法邮件地址过滤Yes()No()基于源地址实现封堵Yes()No()基于源端口实现封堵Yes()No()基于目的地址实现封堵Yes()No()基于目的端口实现封堵Yes()No()基于时间实现封堵Yes()No()防火墙日志审计功能测试测试编号：测试组：防火墙日志审计的测试测试依据：测试目的：测试防火墙日志审计功能的完善程度。测试步骤：查阅日志信息，检查日志审计工具；根据测试表格要求，分别进行登录/退出防火墙、启动/停止系统功能、配置安全规则、配置审计功能等操作，检查日志信息；生成恶意事件，发送验证业务流，检查受监控通信过程的日志记录信息。预期测试结果：测试准备：需要准备测试主机和测试服务器，用于生成验证业务流。测试说明：

测试结果:测试项测试用例测试结果备注审计界面汉化界面Yes(V)No()英文界面YesONo(V)查阅方式分类查阅Yes(V)No()仅基于给定的关键词作检索。关键字检索Yes(V)No()日志分析工具的支持自带分析工具Yes(V)No()提供第三方工具接口YesONo(V)日志存储方式本机存储YesONo(V)存储采用Linux的MySQL数据库。输出文本存储YesONo(V)输出数据库存储Yes(V)No()登录防火墙的日志登录时间Yes(V)No()登录账号Yes(V)No()登录成功/失败信息Yes(V)No()退出防火墙的日志退出时间Yes(V)No()退出账号Yes(V)No()功能启动的日志启动时间Yes(V)No()操作员标识Yes(V)No()功能停止的日志停止时间Yes(V)No()操作员标识Yes(V)No()安全规则配置的记录配置时间Yes(V)No()操作员标识Yes(V)No()增、删、改Yes(V)No()初始化配置的记录配置时间Yes(V)No()操作员标识Yes(V)No()增、删、改Yes(V)No()审计功能配置的记录配置时间Yes(V)No()操作员标识Yes(V)No()增、删、改Yes(V)No()被监控联接的日志起/止时间Yes(V)No()源/目的IP地址Yes(V)No()源/目的端口Yes(V)No()攻击事件的日志事件发生时间Yes(V)No()所有攻击事件仅限于打开入侵检测模块所能监测到的违规行为。事件类型Yes(V)No()防火墙报警功能测试测试编号：测试组：防火墙报警功能测试测试依据：测试目的：测试防火墙报警功能的报警触发条件和报警方式。测试步骤：设置防火墙的报警触发条件；生成报警事件，检查报警效果；根据测试表格要求，完成上述测试。预期测试结果：测试准备：测试说明：测试结果：不支持。测试项测试用例测试结果备注触发条件设定的被监控的安全事件Yes()No()设备功能模块故障Yes()No()线路故障Yes()No()报警方式手机Yes()No()邮件Yes()No()界面显示Yes()No()可扩展报警方式Yes()No()防火墙双机热备的功能支持完整性测试测试编号：测试组：防火墙双机备份的测试测试依据：测试目的：测试双机热备对防火墙其他功能模块支持的完整性测试步骤：把两台防火墙配置在双机热备状态；根据测试表格要求，在主工作状态的防火墙上，分别配置各种功能模块，校验主备防火墙之间工作状态一致性的维持情况。预期测试结果：测试准备：测试说明：测试结果：不支持。测试项测试结果测试项测试结果逻辑子接口人工同步Yes()No()认证人工同步Yes()No()自动同步Yes()No()自动同步Yes()No()路由人工同步Yes()No()安全策略表人工同步Yes()No()自动同步Yes()No()自动同步Yes()No()虚拟防火墙子系统人工同步Yes()No()联接状态表人工同步Yes()No()自动同步Yes()No()自动同步Yes()No()NAT人工同步Yes()No()日志人工同步Yes()No()自动同步Yes()No()自动同步Yes()No()VPN人工同步Yes()No()管理员账号人工同步Yes()No()自动同步Yes()No()自动同步Yes()No()代理人工同步Yes()No()备注自动同步Yes()No()不支持。防火墙抗掉电性测试测试编号：测试组：防火墙抗掉电测试测试依据：测试目的：测试掉电这一异常事故对防火墙的影响。测试步骤：对工作中的防火墙实施掉电操作；对掉电的防火墙恢复供电，根据测试表格要求检查系统的状态和配置信息。预期测试结果：测试准备：测试说明：测试结果：测试项测试用例测试结果备注对系统的影响日志丢失Yes()No(V)本机不存储日志，放在外接日志服务器中。接口配置信息丢失Yes()No(V)网络功能模块配置信息丢失Yes()No(V)安全策略模块配置信息丢失Yes()No(V)审计模块配置信息丢失Yes()No(V)系统用户配置信息丢失Yes()No(V)系统恢复能力报警Yes()No(V)需要重新调整配置Yes()No(V)4・15防火墙VPN功能测试测试编号：测试组：防火墙VPN功能测试测试依据：测试目的：测试防火墙与VPN网关的集成方式以及VPN功能实现的完整性。测试步骤：在防火墙上配置Site-to-Site的VPN隧道，对VPN隧道接口施加安全策略；针对测试表格检查VPN的配置；利用测试主机穿过VPN隧道进行正常的网页访问，确认VPN隧道工作正常，同时，利用Sniffer确认传送资料被正确加密。预期测试结果：测试准备：需要准备测试主机和测试服务器测试说明：测试结果：不支持。测试项功能类型测试结果备注VPN工作方式支持隧道VPNYes()No()支持传输VPNYes()No()VPN交换Yes()No()加密算法DES/3DESYes()No()AESYes()No()国内加密算法Yes()No()密钥管理PKIYes()No()4.16防火墙地址翻译功能测试测试编号：测试组：测试防火墙的地址翻译功能测试依据：测试目的：测试防火墙是否具备完整的地址翻译功能以及NAT配置的灵活性。测试步骤：在防火墙的内区与外区之间的通信接口上配置地址翻译功能；发送业务流，用Sniffer确认地址翻译成功；按测试表格内容验证地址翻译功能。预期测试结果：防火墙应当能全面支持测试表格所列的地址翻译功能。测试准备：需要Sniffer嗅探器以及用来生成业务流的测试主机和服务器。测试说明：测试结果：测试项目验证结果双向与接口无关静态1对1NATYes(V)No()Yes(V)No()Yes()No(v)动态1对多NATYes(V)No()Yes()No(V)Yes()No(v)动态多对多NATYes(V)No()Yes()No(v)Yes()No(v)PATYes(V)No()Yes(v)No()Yes()No(v)防火墙产品性能测试防火墙产品的性能测试是在功能测试完成的基础上，考察防火墙产品部署后对正常网络通信在性能方面的影响程度，同时防火墙本身的安全性和可靠性也是性能测试的一项重要内容。防火墙吞吐量测试测试编号：测试组：防火墙基本通信性能测试测试依据：RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices.测试目的：测试防火墙在不丢包条件下能达到的最大的资料包转发速率。测试步骤：在防火墙的内区和外区之间设置一条双向的全允许规则；采用测试仪表分别与防火墙的外区和内区接口相连；利用仪表，发送双向的UDP测试数据流，搜索接口的吞吐量，采样时长设置为30秒；分别对64、128、256、512、1024、1280、1518字节的测试帧，重复上述测试过程。预期测试结果：测试包应当能够通过防火墙。但是，在短帧和1518字节帧长条件下，测试结果可能达不到接口线速。测试准备：需要准备一台SmartBits测试仪。测试说明：测试结果：帧长（字节）64128256512102412801518一对光纤接口的平均吞吐量（％）100100100100100100100整机的平均吞吐量（％）100100100100100100100整机支持2对光纤接口。测试人员厂商代表防火墙背靠背缓存能力测试测试编号：测试组：防火墙基本通信性能测试测试依据：RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices.测试目的：测试防火墙按最小帧间隔转发突发资料而不引起丢包的最大突发资料长度。测试步骤：在防火墙的内区和外区之间设置一条双向的全允许规则；采用测试仪表分别与防火墙的外区和内区接口相连；利用仪表，发送双向的UDP测试数据流，搜索接口的背靠背缓冲值，采样时长设置为2秒；分别对64、128、256、512、1024、1280、1518字节的测试帧，重复上述测试过程各5次。预期测试结果：测试准备：需要准备一台SmartBits测试仪。测试说明：测试结果:帧长（字节）64128256512102412801518背靠背缓冲帧29761901689190905798469924239464192308162548数目（Frames）/2976190/1689190/905798/469924/239464/192308/16254829761901689190905798469924239464192308162548/2976190/1689190/905798/469924/239464/192308/16254829761901689190905798469924239464192308162548/2976190/1689190/905798/469924/239464/192308/16254829761901689190905798469924239464192308162548/2976190/1689190/905798/469924/239464/192308/16254829761901689190905798469924239464192308162548/2976190/1689190/905798/469924/239464/192308/162548平均值29761901689190905798469924239464192308162548/2976190/1689190/905798/469924/239464/192308/162548整机测试值与上述一样。测试人员：厂商代表：防火墙最大的联接建立速率测试测试编号：测试组：防火墙基本通信性能测试测试依据：InternetDraft：BenchmarkingMethodologyforFirewallPerformance.测试目的：测试防火墙能达到的最大的TCP联接建立速率。测试步骤：在防火墙的内区和外区之间设置双向的安全规则，测试仪表分别与防火墙的外区和内区接口相连；采用测试仪表仿真客户端与服务器之间的TCP通信过程。通过调节通信联接的建立速率，搜索防火墙能支持的最大的联接建立速率。分别在设置一条全允许规则和设置80条安全控制规则的条件下，完成上述测试过程，其中，80条安全规则内含40条允许规则和40条禁止规则，允许规则和禁止规则需交替配置。预期测试结果：硬件防火墙应当能支持至少每秒上千个TCP联接的建立。如果达到防火墙支持的TCP联接建立速率的峰值，防火墙应当能继续保持在正常的工作状态。测试准备：需要准备两台CawNetwork测试仪，一台仿真客户端，一台仿真服务器端测试说明：测试结果：一条全允许规则条件下，最大的通信联接建立速率 6667 Connections/Sec250条允许规则条件下，最大的通信联接建立速率 Connections/Sec测试人员厂商代表防火墙最大并发联接数测试测试编号：测试组：防火墙基本通信性能测试测试依据：InternetDraft：BenchmarkingMethodologyforFirewallPerformance.测试目的：测试防火墙能支持的最大的并发TCP联接数目。测试步骤：在防火墙的内区和外区之间设置一条双向的全允许规则，测试仪表分别与防火墙的外区和内区接口相连；采用测试仪表仿真客户端与服务器之间的TCP通信过程。在保持旧的通信会话联接仍有效的基础上，仪表以批量方式增加新的通信会话过程，通过调整批量的大小，搜索防火墙能支持的最大的有效TCP并发联接数目。预期测试结果：硬件防火墙应支持最少十万条有效的并发TCP联接数目。在达到最大的TCP并发联接数目时，防火墙应当能继续保持在正常的工作状态。测试准备：需要准备两台CawNetwork测试仪，一台仿真客户端，一台仿真服务器端测试说明：测试结果：最大的有效TCP并发联接数目 〉50万 Connections测试人员厂商代表防火墙有效通过率测试测试编号：测试组：防火墙基本通信性能测试测试依据：InternetDraft：BenchmarkingMethodologyforFirewallPerformance.测试目的：测试防火墙一次性成功转发HTTP通信会话资料的最大速率。测试步骤：在防火墙的内区到外区方向设置一条HTTP允许规则，测试仪表分别与防火墙的外区和内区接口相连；通过调整通信量，搜索峰值的有效通过率；调整TCP最大传输数据块大小，分别在198、454、966、1222、1460条件下，完成上述测试过程。预期测试结果：测试准备：需要准备两台CawNetwork测试仪，一台仿真客户端，一台仿真服务器端测试说明：测试结果：MSS(Byte)19845496612221460HTTP有效通过率(Mbps)260.5638956.9960.6964.8混杂非法业务流条件下的防火墙联接建立速率测试测试编号：测试组：防火墙基本通信性能测试测试依据：InternetDraft：BenchmarkingMethodologyforFirewallPerformance.测试目的：测试混杂了等量的非法通信的条件下，防火墙能达到的最大的TCP联接建立速率。测试步骤：在防火墙的内区和外区之间设置40条允许规则和40条禁止规则，其中，40条允许规则和40条禁止规则交替配置，测试仪表分别与防火墙的外区和内区接口相连；采用测试仪表按一定速率仿真客户端与服务器之间的TCP通信过程。所有的通信由等量的合法通信过程和非法通信过程混杂而成。通过变更通信联接的建立速率，搜索防火墙可支持的最大TCP联接建立速率。要求所有合法通信过程均可一次性成功完成，同时，所有非法通信过程被成功阻断。预期测试结果：本项测试的结果可能会小于无非法通信联接条件下测得的结果。如果达到防火墙支持的TCP联接建立速率的峰值，防火墙应当能继续保持在正常的工作状态。测试准备：需要准备两台CawNetwork测试仪，一台仿真客户端，一台仿真服务器端测试说明：测试结果：混杂非法联接条件下，最大的通信联接建立速率 6278 Connections/Sec防火墙延时参数测试测试编号：测试组：防火墙基本通信性能测试测试依据：RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices测试目的：测试防火墙的通信包转发延时。测试步骤：采用与吞吐量测试相同的配置，稳定在吞吐量的峰值，无丢包条件下持续测试10秒，统计包转发延时；调整通信帧长，分别在64、128、256、512、1024、1280、1518条件下，完成上述测试过程。预期测试结果：测试准备：需要准备一台SmartBits测试仪测试说明：测试结果：帧长(Byte)64128256512102412801518一对光口包转发延时CT(us)4.56.09.015.326.030.033.9一对光口包转发延时S&F(us)4.05.07.011.317.919.821.8整机包转发延时CT(us)15.425.930.033.8整机包转发延时S&F(us)11.417.819.821.7测试人员厂商代表防火墙加密隧道的有效通过率测试测试编号：测试组：防火墙加密隧道通信性能测试测试依据：InternetDraft：BenchmarkingMethodologyforFirewallPerformance.测试目的：测试通过防火墙加密隧道的HTTP数据传输的最大有效速率。测试步骤：在两台防火墙的外区接口之间建立一定数目的VPN加密隧道，把仪表分别与两台防火墙的内区接口相连；采用测试仪表仿真客户端与服务器之间的HTTP通信过程，保持HTTP会话均匀分布在每个VPN隧道上；通过调整通信量,，搜索峰值的有效通过率；调整TCP最大传输数据块大小，分别在198、454、966、1222、1460条件下，完成上述测试过程。分别配置一条和10条VPN加密隧道，进行上述测试。预期测试结果：在VPN加密隧道的条件下，测得的有效通过率可能有大幅度的下降。测试准备：需要准备两台CawNetwork测试仪，一台仿真客户端，一台仿真服务器端测试说明：在10条VPN加密隧道条件下测得的有效通过率，需要折算为每条VPN隧道的有效通过率。测试结果：MSS(Byte)19845496612221460一条VPN加密隧道下，HTTP有效通过率（bps）不支持VPN。防火墙加密隧道延时参数测试测试编号：测试组：防火墙加密隧道通信性能测试测试依据：RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices测试目的：测试通过防火墙加密隧道的数据包转发延时。测试步骤：在两台防火墙的外区接口之间建立一条VPN加密隧道，把仪表分别与两台防火墙的内区接口相连；采用与吞吐量测试相同的配置，稳定在吞吐量的峰值，无丢包条件下持续测试10秒，统计包转发延时；调整通信帧长，分别在64、128、256、512、1024、1280、1518条件下，完成上述测试过程。预期测试结果：测试准备：需要准备SmartBits测试仪测试说明：测试结果：帧长(Byte)64128256512102412801518VPN加密隧道方向一的包转发延时(us)VPN加密隧道方向二的包转发延时(us)不支持VPN。5・10防火墙对DoS的防范能力测试测试编号：测试组：防火墙抗DoS攻击测试测试依据：测试目的：测试防火墙对拒绝服务攻击的防范能力。测试步骤：防火墙配置一条全允许规则，测试仪表与防火墙的外区和内区接口相连，并且仿真从外区到内区服务器浏览网页的正常通信过程；利用DoS攻击工具从外区向被保护的内区发起拒绝服务攻击；在攻击过程中，搜索最大的有效TCP联接建立速率和最大的有效数据传输速率，并且统计渗透到内区的攻击包数目；分被针对Synflood、Pingflood、Udpflood、Landattack、Smurfattack、TearDrop、PingofDeath等DoS攻击完成上述测试过程。预期测试结果：测试准备：需要准备两台CawNetwork测试仪，一台用于仿真客户端，一台用于仿真服务器端，同时需要准备DoS攻击工具。测试说明：有效通过率的测试网页大小为10K字节，联接建立速率的测试网页大小为1字节。测试结果：对于下述DoS攻击，防火墙不产生日志。攻击类型有效通过率(bps)最大联接建立速率发出的DoS攻击包数目渗透的DoS攻击包数目Pingflood962.8M6762Consps179597pps30ppsSynflood962.8M6762Consps94554pps91988ppsUnreachablehostattack962.8M6762Consps2pps0Landattack962.8M6762Consps179597pps0Smurfattack962.8M6762Consps94554pps0TearDrop962.8M6762Consps6pps6ppsPingofDeath962.8M6762Consps94pps0防火墙内核最小化测试测试编号：测试组：防火墙内核最小化安全评估测试测试依据：测试目的：测试防火墙软件及其使用的操作系统的安全程度。测试步骤：利用InternetScanner对处于工作状态的防火墙仿真黑客攻击;统计检测到的漏洞预期测试结果：测试准备：需要InternetScanner工具软件。测试说明：测试结果：序号漏洞类型序号漏洞类型1LR OpensshRunning V=OpenSSH3.5p12LRIcmpTstamp3LRApacheRunningApache_v=1.3.27(Unix)PHP/4.2.3mod_ssl/2.8.12OpenSSL/O.9.6h4LRTraceroute5MRHttpTraceEnabledport=4436MRsyslogflood防火墙双机热备切换时间测试测试编号：测试组：防火墙双机备份测试测试依据：测试目的：测试防火墙产品双机热备的切换时间。测试步骤：把两台防火墙配置在一主一备的双机热备状态；测试仪表分别与防火墙的外区和内区接口相连，利用仪表产生恒定的UDP业务流；在主工作状态的防火墙上生成故障，触发主备切换，待系统稳定后，根据丢包数目计算切换时间；重新产生恒定的UDP业务流，故障恢复，待系统稳定后，根据丢包数目计算故障恢复的切换时间；分别针对外区/内区接口故障、管理或DMZ接口故障、设备掉电，完成上述测试过程。预期测试结果：切换时长可能在数秒的范围内，与故障类型会有关联。切换时长越短越好。测试准备：需要一台SmartBits测试仪测试说明：部分防火墙产品